Deutscher AnwaltSpiegel – Abonnement

Erhalten Sie alle zwei Wochen das Online-Magazin direkt in Ihr Postfach.

Kostenlos anmelden

„Ausgetwittert“

Bedeutung des Twitter-Ausstiegs des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg für Unternehmen

15. April 2020, von Bettina Backes und Carolin Nemec

Beitrag als PDF (Download)

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI), Dr. Stefan Brink, deaktivierte zum 31.01.2020 öffentlichkeitswirksam seinen Twitter-Account. Mit diesem hatte er über zwei Jahre aktiv durch News-Postings und Kommentare am Datenschutzgeschehen in sozialen Medien teilgenommen. Das Betreiben eines solchen Accounts hält er für datenschutzrechtlich nicht mehr vertretbar. Mit seinem Ausstieg verfolgt er insbesondere das Ziel, auch weitere öffentliche Stellen und Unternehmen dazu zu bewegen, ihre Accounts in sozialen Netzwerken zu deaktivieren.

Rechtliche Probleme im Zusammenhang mit Fanpages
Als „Fanpage“ wird eine Seite in einem sozialen Netzwerk bezeichnet, die von einem Nutzer des sozialen Netzwerks unterhalten wird, um auf die Existenz der eigenen Unternehmung sowie das eigene Angebot aufmerksam zu machen. Das soziale Netzwerk dient in dem Fall als Plattform für eigene Werbezwecke. Dem Fanpage-Besucher stehen sowohl der Fanpage-Betreiber (zum Beispiel ein Unternehmen) als auch der jeweilige Plattformbetreiber (etwa Facebook, Twitter etc.) gegenüber. Von dieser Dreieckskonstellation profitieren sowohl der Fanpage-Betreiber, der sich die Popularität des sozialen Netzwerks und dessen Dienste zunutze macht, als auch das soziale Netzwerk, dem dadurch immer mehr Daten zur Verfügung stehen, die zielgerichtetes Marketing ermöglichen und auf diese Weise sowohl die Umsätze als auch die Popularität des sozialen Netzwerks beträchtlich steigern. Gerade diese Dreieckskonstellation ist es jedoch, die soziale Netzwerke aus Nutzerperspektive schwer durchschaubar und aus datenschutzrechtlicher Sicht bedenklich erscheinen lässt.
Die Erhebung und weitere Verarbeitung personenbezogener Daten ist nur auf Basis der in der DSGVO geregelten Rechtsgrundlagen zulässig. Derjenige, dessen Daten erhoben und weiterverarbeitet werden („der Betroffene“), ist über die Erhebung und weitere Verarbeitung seiner personenbezogenen Daten umfassend zu informieren. Dies gilt auch für die Besucher von Fanpages. Jeder Besucher ist daher über den Umfang der erhobenen Daten, die Art und den Zweck der Verarbeitung sowie die Person des Verarbeitenden vom Verantwortlichen zu informieren. Wer aber ist in dieser Konstellation Verantwortlicher? Diese Frage war bis zum Urteil des Europäischen Gerichtshofs (EuGH) vom 05.06.2018 ungeklärt.
Darüber hinaus reicht die Information eines Fanpage-Besuchers häufig allein nicht aus. Bei bestimmten Arten der Verarbeitung personenbezogener Daten, wie beispielsweise dem Tracking, ist in der Regel eine datenschutzkonforme Einwilligung der Betroffenen einzuholen. Eine datenschutzkonforme Einwilligung erfordert eine freiwillige und aktive, für den konkreten Einzelfall vor der Datenverarbeitung und separat abgegebene Erklärung, die zudem jederzeit widerrufen werden kann. Registrierte Nutzer sozialer Netzwerke geben in der Regel im Rahmen der Registrierung eine entsprechende Einwilligung ab. Ob diese den obengenannten Anforderungen genügt, ist jedoch fraglich. Allerdings besuchen regelmäßig auch nichtregistrierte Nutzer eines sozialen Netzwerks Fanpages, ohne überhaupt Datenschutzinformationen zu erhalten oder eine Einwilligung abzugeben.

Aktuelle Entscheidungen des Europäischen Gerichtshofs und des Bundesverwaltungsgerichts
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hatte bereits im Jahr 2011 gegenüber der von der IHK Schleswig-Holstein getragenen, gemeinnützigen Bildungseinrichtung „Wirtschaftsakademie“ angeordnet, ihre bei Facebook unterhaltene Facebook-Fanpage zu deaktivieren. Der Rechtsstreit erstreckte sich bis zum Bundesverwaltungsgericht, welches das Verfahren aussetzte und den EuGH in einem Vorabentscheidungsverfahren um die Auslegung mehrerer Bestimmungen der damals einschlägigen Datenschutzrichtlinie bat.
In dem Vorabentscheidungsverfahren entschied der EuGH (C-210/16), dass auch ein Fanpage-Betreiber Verantwortlicher im datenschutzrechtlichen Sinn ist. Die Stellung als Verantwortlicher begründet weitgehende datenschutzrechtliche Informationspflichten gegenüber dem Betroffenen. Diesen kann der Fanpage-Betreiber in der Regel jedoch nicht nachkommen, da ihm das entsprechende Wissen über die Datenverarbeitungsvorgänge sozialer Netzwerke fehlt und er keine Möglichkeit der Einsichtnahme in deren Abläufe hat. In der vorliegenden Konstellation ist der Fanpage-Betreiber mit dem sozialen Netzwerk gemeinsamer Verantwortlicher (sogenannter Joint Controller). Damit wurde klargestellt, dass für eine gemeinsame Datenverarbeitung zwischen den beiden Verantwortlichen stets eine Vereinbarung zu schließen ist, in der die Wahrnehmung von Pflichten etwa gegenüber Betroffenen transparent und eindeutig geregelt werden muss. Die (Mit-)Verantwortlichkeit des Fanpage-Betreibers begründet der EuGH mit der Ermöglichung der Verarbeitung personenbezogener Daten der Fanpage-Besucher durch Facebook, unabhängig davon, ob diese Person überhaupt über ein Facebook-Konto verfügt. Hinzu komme, dass die von Facebook aus den Daten erstellten anonymen Besucherstatistiken wiederum dem Betreiber ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu erstellen.
Das Bundesverwaltungsgericht (BVerwG 6 C 15.18) sprach der Aufsichtsbehörde schließlich ein Auswahlermessen zu, zur Beseitigung von Rechtsverstößen wahlweise auf jeden der Verantwortlichen zuzugreifen – damit auch auf den Fanpage-Betreiber – und zum Beispiel die Deaktivierung der Fanpage anzuordnen. Die Aufsichtsbehörde ist daher nicht verpflichtet, vorrangig gegen das soziale Netzwerk vorzugehen. Begründet wird diese Entscheidung mit dem Grundsatz der Effektivität. Eine Deaktivierung der Fanpage durch den Betreiber beendet den rechtswidrigen Zustand schneller und effektiver als ein Vorgehen gegen das soziale Netzwerk, in diesem Fall ­Facebook, das neben der Frage der Zuständigkeit deutscher Aufsichtsbehörden auch die Frage der Durchsetzbarkeit solcher Anordnungen aufwirft.

Auswirkungen der Entscheidungen
Seit der Entscheidung des BVerwG ist eindeutig geklärt, dass Aufsichtsbehörden auch gegen Fanpage-Betreiber vorgehen können. Ein Vorgehen gegen die sozialen Netzwerke selbst ist den deutschen Aufsichtsbehörden in den meisten Fällen nicht möglich. Die sozialen Netzwerke haben ihren europäischen Sitz meist in Irland und unterliegen damit allein der bisher eher zurückhaltend agierenden irischen Aufsichtsbehörde. Daher hatten die deutschen Aufsichtsbehörden bisher keine Handhabe gegen das datenschutzwidrige Vorgehen der sozialen Netzwerke. Diese Situation hat sich durch die beiden dargelegten Entscheidungen deutlich geändert. Die datenschutzrechtliche Inanspruchnahme eines Fanpage-Betreibers kann nunmehr endgültig durch die Anordnung der Deaktivierung einer solchen Fanpage erreicht werden.
Auch Facebook hat auf die beiden Entscheidungen reagiert und eine „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ bereitgestellt. Die Aufsichtsbehörden sind jedoch der Auffassung, dass damit noch keine datenschutzgerechte Vereinbarung über die gemeinsame Datenverarbeitung vorliegt. Die Ergänzung gibt den Fanpage-Betreibern als Mitverantwortlichen weder Entscheidungsmacht noch Einblick in die Verarbeitungstätigkeit personenbezogener Daten durch Facebook. Die Fanpage­Betreiber können damit nicht bewerten, ob Verarbeitungstätigkeiten rechtskonform durchgeführt werden, obwohl sie ihrer Verantwortung unterliegen.

Handlungsempfehlungen des LfDI
Die Entscheidungen der Gerichte und der Aufsichtsbehörde haben unmittelbare Auswirkungen auf das Verhalten von Unternehmen in dem Bemühen um Compliance. Wer kann, sollte auf den Einsatz sozialer Netzwerke in der Unternehmenskommunikation verzichten. Dies wird in vielen Fällen nicht möglich sein, will man nicht riskieren, ins Hintertreffen zu geraten. In diesen Fällen sollten zumindest die nachfolgend dargelegten Handlungsempfehlungen des LfDI beachtet werden. Diese hat der LfDI nach seinem Twitter-Ausstieg in einer Richtlinie zur Nutzung von sozialen Netzwerken durch öffentliche Stellen bereitgestellt. Sie können aber auch Unternehmen Orientierung bieten.

  • Der LfDI fordert ein klares Konzept, das Zweck, Art und Umfang der vorgesehenen Nutzung sozialer Netzwerke beschreibt, die Gründe der Entscheidung für das gewählte soziale Netzwerk darstellt, die Vorteile der Nutzung den Nachteilen eines Verzichts gegenüberstellt sowie Verantwortlichkeiten für die redaktionelle/technische Betreuung und die Wahrnehmung der Rechte der Betroffenen festlegt. Insbesondere bei geplanter Kommunikation mit Fanpage-Besuchern sind ein sorgfältiger Umgang mit sensiblen Daten sicherzustellen und eine Abschätzung der Konsequenzen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten vorzunehmen. Eine jährliche Evaluierung dieses Konzepts wird empfohlen.
  • Die Impressumspflicht aus § 5 TMG ist zu beachten. Die vorgeschriebenen Pflichtangaben können als „Impressum“ oder „Kontakt“ bezeichnet werden und müssen den Anbieter der Fanpage – den Fanpage-Betreiber – erkennen lassen. Sie müssen im Navigationsmenü als eigener Punkt untergebracht und mit maximal zwei Schritten erreichbar sein.
  • Eine gesonderte Datenschutzerklärung, die das gestufte Anbieterverhältnis widerspiegelt (Verarbeitung der Nutzungsdaten durch den Plattformbetreiber sowie den Fanpage-Betreiber) und insbesondere über eine etwaige Übermittlung der Daten außerhalb Europas aufklärt, ist in die Fanpage zu integrieren. Auch eine Verlinkung der Datenschutzerklärung des Plattformbetreibers sowie der eigenen Datenschutzerklärung des Fanpage-Betreibers ist empfehlenswert.
  • Die redaktionelle Betreuung der Fanpage durch geschultes Personal wird empfohlen. Ermöglicht der Fanpage-Betreiber im Rahmen seines Angebots den Fanpage-Besuchern die interaktive Teilnahme an seinen Beiträgen (etwa durch Kommentare) und erlangt der Fanpage-Betreiber Kenntnis von einer rechtswidrigen Handlung oder Information, so haftet er nach § 10 TMG, wenn er nicht unverzüglich tätig wird und die Information entfernt.
  • Bereitgestellte Informationen sowie die Kommunikation sollten auch über einen alternativen Weg ermöglicht werden. Auf diese Weise sind am Unternehmen interessierte Personen nicht auf eine Registrierung in sozialen Netzwerken oder auf die Verarbeitung ihrer Daten durch soziale Netzwerke angewiesen.

Fazit
Auch deutsche Aufsichtsbehörden haben nunmehr die Möglichkeit, über einen greifbaren Störer (den Fanpage-Betreiber) einen bisher nicht erreichbaren Störer (den Plattformbetreiber des sozialen Netzwerks) unter Druck zu setzen und somit datenschutzkonform zu agieren. Dies mag für die Aufsichtsbehörden erfreulich sein, stellt die Fanpage-Betreiber jedoch vor höhere Risiken einer datenschutzrechtlichen Inanspruchnahme. Ein Restrisiko verbleibt derzeit auch bei Einhaltung der Handlungsempfehlungen durch den Fanpage-Betreiber. Aufgrund der Verlautbarungen einzelner Aufsichtsbehörden ist damit zu rechnen, dass die Aufsichtsbehörden in nächster Zeit verstärkt die Nutzung sozialer Netzwerke – auch durch Unternehmen – ins Visier nehmen werden.

bc@haver-mailaender.de

cn@haver-mailaender.de

Aktuelle Beiträge

Mit ihrer Klage verlangte eine Arbeitnehmerin die Zahlung der jeweiligen Vergütungsdifferenz zwischen ihrem Grundentgelt und dem Grundentgelt ihres männlichen Kollegen sowie eine Entschädigung infolge einer Ungleichbehandlung aufgrund ihres Geschlechts.
AnwaltSpiegel
BAG stärkt Entgeltgleichheit zwischen Frauen und Männern „Verhandlungsgeschick“ allein kein Grund für unterschiedliche Vergütung weiterlesen
Der Begriff der Schwangerschaft, und damit der Beginn des Eingreifens des besonderen Kündigungsschutzes, wird weder in der Mutterschutzrichtlinie noch im deutschen Mutterschutzgesetz näher definiert.
AnwaltSpiegel
BAG stärkt Kündigungsschutz während der Schwangerschaft Berechnung des Schwangerschaftsbeginns: Mehr Schutz für Mutter und Kind statt reiner Naturwissenschaft weiterlesen
Einige Fragen sind zu klären: Wer trägt das Risiko für bereits verkaufte Waren, wenn ein Vorlieferant nicht liefern kann oder will? Kann der Verkäufer seine Lieferpflicht gegenüber dem Käufer vertraglich anpassen? Dürfen Liefertermine unverbindlich sein?
AnwaltSpiegel
Vertragsgestaltung: Beschaffungsrisiko in Krisenzeiten Im Blickpunkt: Leistungspflichten und Risikominimierung weiterlesen
© 2023 Deutscher AnwaltSpiegel